服务器设置 Header响应头(Server、X-Frame-Options、X-Powered-By)

最新推荐文章于 2024-05-23 09:00:00 发布
原创 最新推荐文章于 2024-05-23 09:00:00 发布 · 4.6k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#运维 #服务器

本文详细介绍了如何通过配置IIS和Tomcat隐藏服务器版本信息,添加X-Frame-Options Header以防止点击劫持,以及如何去除X-Powered-By信息,提高服务器安全性。

一、iis7/8隐藏banner信息

进入在【Internet 信息服务(IIS)管理器】-【HTTP 响应头】,添加或删除或修改即可。

  1. 隐藏 Server 版本信息,安装UrlScan,打开%WINDIR%\System32\Inetsrv\URLscan,配置URLScan.ini: 
    RemoveServerHeader=0;  改为RemoveServerHeader=1;
  2. 添加 X-Frame-Options Header
    进入在【Internet 信息服务(IIS)管理器】-【HTTP 响应头】,添加如下响应头: 
    名称:X-Frame-Options
值:SAMEORIGIN

     

  3. 去除X-Powered-By信息
    进入在【Internet 信息服务(IIS)管理器】-【HTTP 响应头】,删除或修改如下响应头: 
    名称:X-Powered-By
值:ni chou sha

     

二、Tomcat,服务器,项目

  1. 隐藏 Server 版本信息,修改tomcat/conf/server.xml配置文件即可: 
    <Connector port="8080" protocol="HTTP/1.1"
               connectionTimeout="20000"
               redirectPort="8443"    server="Microsoft-IIS/8.5"/>

     修改 server="Microsoft-IIS/8.5"  的值就行了,随便写。^_^

  2. 添加 X-Frame-Options Header
    方式一:修改 tomcat 配置文件 
    打开Tomcat配置文件(conf\web.xml)搜索 httpHeaderSecurity有两处地方
   
<!--第一处将注释放开-->
   <filter>
        <filter-name>httpHeaderSecurity</filter-name>
            <filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class>
        <async-supported>true</async-supported>
<!--新增内容-->
        <init-param>
            <param-name>antiClickJackingEnabled</param-name>
            <param-value>true</param-value>
        </init-param>
        <init-param>
            <param-name>antiClickJackingOption</param-name>
            <param-value>SAMEORIGIN</param-value>
        </init-param>
    </filter>
<!--第二处-->
    <filter-mapping>
        <filter-name>httpHeaderSecurity</filter-name>
        <url-pattern>/*</url-pattern>
        <dispatcher>REQUEST</dispatcher>
    </filter-mapping>

    方式二:在项目过滤器中添加Header 
    	@Override
	public void doFilter(ServletRequest request, ServletResponse response)
			throws IOException, ServletException {
		HttpServletResponse resp = (HttpServletResponse) response;
		resp.setHeader("x-frame-options","x-frame-options");
	}

    方式三:在jsp的公共页面添加java代码。(其实跟第二种一样) 
    <%
response.setHeader("x-frame-options","x-frame-options");
%>

     

  3. 去除X-Powered-By信息,待补充
【漏洞笔记】X-Frame-Options Header未配置
TeamsSix 的 优快云 空间
11-19 1155
0x00 概述 漏洞名称:X-Frame-Options Header未配置 风险等级:低危 问题类型:管理员设置问题 0x01 漏洞描述 X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在 <忽略frame>, <忽略iframe>, <忽略embed> 或者&nbs...
Response Header里的Server,X-Powered-By,X-AspNet-Version字段等敏感信息删除
amx_006的博客
11-28 7036
Response Header里的Server,X-Powered-By,X-AspNet-Version字段等敏感信息删除 目录 Web应用安全之Response Header 前言 1.1那些敏感的header 1.2删除敏感的header 1.2.1删除server字段 1.2.2删除X-Powered-By字段 1.2.3删除X-AspNet-Version字段 1.2.4删除X-AspNetMvc-Version 前言 通过抓包工具burp...
修改iis的banner实现操作系统版本的隐藏
07-17
构建高安全级别的主机系统的时候,对于NT系统往往有一个很尴尬的地方就是IIS的返回BANNER会很容易的泄露当前主机上NT的版本。不要轻易的泄露你的系统信息,对于真正的入侵尽量拖延和扰乱入侵者的视线。
servlet 服务器HTTP响应头设置示例(response用法)
weixin_34414196的博客
11-28 292
1,Location 用于重定向,和返回状态码302结合使用。 代码示例: response.setStatus(302); response.setHeader("location","/day20131128/1.html"); 这样,当请求服务器的时候可以重定向到这个/day20131128/1.html文件 也可以这样: response.sendRedirect("/day...
IIS设置HTTP 响应标头控制文件下载
Dreamaple
07-06 3326
问:我们的图片文件从数据库读取之后,浏览器页面会直接打开图片,如何让图片和其他文件一样,调用浏览器的下载来下载图片。 答:当然这有很多方法,最简单快捷的方法如下(前提:你的下载文件夹不是到处放的): 打开IIS,找到你部署的项目; 展开项目文件夹,找到你下载文件的文件夹; 选中文件夹后,找到右侧的HTTP 响应标头; 进入后,添一条规则 名称:Content-Disposition 值:atta
Http响应X-Powered-By, X-Robots-Tag,X-Frame-Options
weixin_33854644的博客
11-07 1058
2019独角兽企业重金招聘Python工程师标准>>> ...
nginx漏扫响应头缺失
挣扎技术
03-04 1万+
一、漏扫出现问题 检测到目标X-Content-Type-Options响应头缺失 add_header 'Referrer-Policy' 'origin'; 检测到错误页面web应用服务器版本信息泄露 修改404页面及500页面,不要出现apache、nginx等字样 检测到目标Referrer-Policy响应头缺失 add_header 'Referrer-Policy' 'origin'; 检测到目标X-XSS-Protection响应头缺失 add_header X-Xss-he
#user nobody; worker_processes 1; #error_log logs/error.log; #error_log logs/error.log notice; #error_log logs/error.log info; #pid logs/nginx.pid; events { worker_connections 1024; } http { include mime.types; default_type application/octet-stream; #log_format main '$remote_addr - $remote_user [$time_local] "$request" ' # '$status $body_bytes_sent "$http_referer" ' # '"$http_user_agent" "$http_x_forwarded_for"'; #access_log logs/access.log main; sendfile on; #tcp_nopush on; #keepalive_timeout 0; keepalive_timeout 65; #gzip on; # HTTPS server server { listen 80; server_name www.wyqg.top; # 关键:设置允许的最大请求体大小(1000M,可根据需要调整) client_max_body_size 1000m; add_header Strict-Transport-Security "max-age=0; includeSubDomains" always; # 关键规则:优先匹配/incorruptFront/wechat路径 # 放在最前面以确保最高优先级 location ^~ /incorruptFront/wechat { # 核心调试标识:只要匹配到该规则,就会返回这个响应头 add_header X-Rule-Matched "incorruptFront-wechat" always; proxy_pass http://218.31.203.46:8081; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; add_header Access-Control-Allow-Origin *; add_header Access-Control-Allow-Methods 'GET, POST, OPTIONS'; add_header Access-Control-Allow-Headers 'Content-Type, Authorization'; add_header Cache-Control "no-store, no-cache, must-revalidate"; } # /api路径转发规则 location /api { rewrite ^/api/(.*)$ /$1 break; proxy_pass http://218.31.203.46:8081; proxy_set_header Host $http_host; proxy_set_header X-Real-IP $remote_addr; add_header Access-Control-Allow-Origin *; add_header Access-Control-Allow-Methods 'GET, POST, OPTIONS'; add_header Access-Control-Allow-Headers 'Content-Type'; } # 静态资源缓存配置 location ~* \.(css|js|jpg|jpeg|png|gif|ico|svg)$ { root dist_FWH/build/web; expires 1d; # 静态资源缓存1天 add_header Cache-Control "public, max-age=86400"; } # 前端静态资源(默认规则,放在最后) location / { root dist_FWH/build/web; index index.html; try_files $uri $uri/ /index.html; } } #后台管理项目 server { listen 8080 ; server_name www.wyqg.top; # 替换为您的域名或服务器IP root dist_HTGL; # 应该是目录,不是文件 # 关键:设置允许的最大请求体大小(1000M,可根据需要调整) client_max_body_size 1000m; add_header Strict-Transport-Security "max-age=0; includeSubDomains" always; # 启用 Gzip 静态文件支持 gzip_static on; gzip on; gzip_types text/plain text/css application/json application/javascript text/xml application/xml application/xml+rss text/javascript; # 路由 history 模式支持 location / { index index.html; try_files $uri $uri/ /index.html; # 缓存配置 if ($request_filename ~* .*\.(?:js|css|jpg|jpeg|gif|png|ico|cur|gz|svg|svgz|mp4|ogg|ogv|webm)$) { expires 365d; add_header Cache-Control "public, immutable"; } } # 8080端口server块中必须包含这段配置 location /proxy-images/ { rewrite ^/proxy-images/(.*)$ /statics/$1 break; # 关键:去掉前缀,拼接真实路径 proxy_pass http://218.31.203.46:9300; # 关键:指向图片服务器IP+端口 proxy_set_header Host $proxy_host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; } # 静态资源目录 location /static/ { alias dist_HTGL/static/; expires max; add_header Cache-Control "public, immutable"; access_log off; } # API 代理配置 location /prod-api/ { proxy_pass http://218.31.203.46:8081/; # 请求头处理 proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; # WebSocket 支持 proxy_http_version 1.1; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection "upgrade"; # 超时设置 proxy_connect_timeout 60s; proxy_read_timeout 600s; proxy_send_timeout 600s; } # 禁止访问敏感文件 location ~ /\.(env|git) { deny all; return 403; } # 错误页面 error_page 404 /index.html; error_page 500 502 503 504 /50x.html; location = /50x.html { root html; } } } 我的nginx代理如下
08-30
proxy_hide_header X-Powered-By; # 隐藏服务器信息 proxy_cache img_cache; # 启用图片缓存 proxy_cache_valid 200 1d; } # HTTP自动跳转HTTPS (新增) location / { return 301 https://$host$request_uri;...
移除Server头(需安装headers-more模块)怎么做
08-06
proxy_hide_header X-Powered-By; proxy_hide_header Server; .... } 这里,`proxy_hide_header`指令通常用于Nginx作为反向代理时,隐藏从后端服务器(如PHP、Tomcat等)返回的响应头。它不能直接移除Nginx...
nginx转发多机怎么上http协议头Content-Type
最新发布
11-28
我们在引用中并没有直接关于如何设置`Content-Type`的内容,但是引用[2]中提到了使用`add_header`指令添安全相关的响应头(如`X-Frame-Options`等),这和我们设置响应头的方法是相同的。因此,可以参考这种方式来...
Web安全 之 X-Frame-Options响应头配置
weixin_34362875的博客
07-28 1340
  最近项目处于测试阶段,在安全报告中存在" X-Frame-Options 响应头缺失 "问题,显示可能会造成跨帧脚本编制攻击,如下图:      X-Frame-Options:   值有三个:   (1)DENY:表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。   (2)SAMEORIGIN:表示该页面可以在相同域名页面的 frame 中展示。   (3)AL...
服务器提速之iis7响应头设置,IIS7.5 添expires头 提高性能 IIS7.5,expires,性能
weixin_36241866的博客
08-13 861
为静态文件(js,css,image)设置客户端缓存是前端优化的重要法则之一,通过IIS为静态文件设置过期头(Expires headers)很方便,1.打开IIS管理器;2.点击要设置的站点,在功能视图中双击HTTP响应标头,3.然后点击,打开对话框但是这样操作,web的整个站的所有的静态文件的缓存时间都一样,如果我们希望为不同的静态文件添不同的缓存时间,比如有些文件很久不改变希望缓存时间长些...
The X-Frame-Options response header
小肥的专栏
09-29 4174
原帖地址:https://developer.mozilla.org/en-US/docs/Web/HTTP/X-Frame-Options?redirectlocale=en-US&redirectslug=The_X-FRAME-OPTIONS_response_header The X-Frame-Options HTTP responseheader can be use
解释一下HTTP协议中的Server头部及其作用。
长风破浪会有时的博客
03-30 1299
在HTTP协议中,当你访问一个网站时,你的电脑(或浏览器)会向网站所在的服务器发送一个请求,要求获取网站的内容。在这个过程中,服务器还会发送一些额外的信息,告诉你的电脑关于服务器自己的一些情况。虽然这些信息对于你只是来吃个饭可能并不太重要,但对于餐厅的老板和厨师来说,它们却是非常有用的,可以帮助他们更好地管理和改进餐厅。头部的作用主要是告诉你的电脑(或浏览器)关于处理请求的服务器的一些信息。头部就像是服务器“自我介绍”的一种方式,虽然普通用户可能不太关心,但对于管理和维护服务器的人来说却是非常重要的。
Spring Security源码分析九:Spring Security Session管理
Karka_的博客
05-23 1120
Session:在计算机中,尤其是在网络应用中,称为“会话控制”。Session 对象存储特定用户会话所需的属性及配置信息。这样,当用户在应用程序的 Web 页之间跳转时,存储在 Session 对象中的变量将不会丢失,而是在整个用户会话中一直存在下去。当用户请求来自应用程序的 Web 页时,如果该用户还没有会话,则 Web 服务器将自动创建一个 Session 对象。当会话过期或被放弃后,服务器将终止该会话。Session 对象最常见的一个用法就是存储用户的首选项。
隐藏响应中的server和X-Powered-By
滴水石穿
10-05 1034
有时候,我们用调试工具查看别人的网站时,经常看到 X-Powered-By:PHP/7.1.8 这样的一行和 Server:Apache/2.4.27 (Win32) OpenSSL/1.0.2l PHP/7.1.8 这样的一行。这时候,我们就可以判断当前网站是在 Windows 系统, Apache服务下,编程语言为 php。这样就暴露了很多信息,对于网站来说是不安全的。利用上面的方法,可以将 X-Powered-By 隐藏掉,也可以直接修改 View.class.php 文件。
服务器响应头入,服务器响应头
weixin_30650955的博客
08-06 306
服务器响应头中 内容精选换一换更新指定VPC通道后端服务器组您可以在API Explorer中调试该接口。PUT /v2/{project_id}/apic/instances/{instance_id}/vpc-channels/{vpc_channel_id}/member-groups/{member_group_id}状态码: 200状态码: 400状态码:批量删除源端服务器信息。一旦源...
server
knight
09-05 513
int main(void) {  struct sockaddr_in servaddr, cliaddr;  socklen_t cliaddr_len;  int listenfd, connfd;  char buf[MAXLINE];  char str[INET_ADDRSTRLEN];  int i, n;  char header[MAX][MAXLENGTH];
X-Frame-Options简介
热门推荐
zzhongcy的专栏
05-06 6万+
最近安全检查,发现没有保障和避免自己的网页嵌入到别人的站点里面,于是需要设置X-Frame-Options安全性。 网上查了查资料,这里记录一下。 可以使用下面工具进行验证:Clickjacking Tool | Test | UI Redressing 1、X-Frame-Options X-Frame-OptionsHTTP响应头是用来给浏览器指示允许一个页面可否在<frame>、<iframe>、<em...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值